web-dev-qa-db-fra.com

Implémentation de RFC7217 (adresses de confidentialité stables) dans Ubuntu 16.10

Je suis l'auteur de la norme RFC7217 de l'IETF et j'essaie de déterminer si Ubuntu 16.10 implémente la prise en charge de la norme RFC7217.

Il semble que la version de NetworkManager utilisée par Ubuntu ne soit pas prise en charge ou que cette prise en charge soit désactivée.

Pouvez-vous confirmer cela?

En outre, envisagez-vous de modifier l'algorithme de génération d'adresses IPv6 par défaut du format Modifié EUI-64 (qui intègre les adresses MAC) au système RFC7217 optimisé pour la confidentialité?

networkingsecurityipv6privacyip-address
8
Fernando Gont

Il se peut que quelque chose me manque, mais je ne vois rien dans le changelog qui m'indique que la prise en charge de la RFC7217 intégrée au gestionnaire de réseau pour Xenial a été supprimée à Yakkety.

Le 16.04 je reçois.

Sudo sysctl -a | grep stable_secret
sysctl: reading key "net.ipv6.conf.all.stable_secret"
sysctl: reading key "net.ipv6.conf.default.stable_secret"
sysctl: reading key "net.ipv6.conf.eth0.stable_secret"
sysctl: reading key "net.ipv6.conf.lo.stable_secret"

Le 16.10, je reçois:

sysctl: reading key "net.ipv6.conf.all.stable_secret"
sysctl: reading key "net.ipv6.conf.default.stable_secret"
sysctl: reading key "net.ipv6.conf.enp0s3.stable_secret"
sysctl: reading key "net.ipv6.conf.lo.stable_secret"

puisque la seule différence que je vois ici est un changement de nom pour le NIC et de plus, il ne semble pas y avoir de changement à /proc/sys/net/ipv6/conf/all/stable_secret je pense qu'il est logique de dire qu'Ubuntu 16.10 implémente toujours le support. pour RFC7217. Bien que ceci ne soit pas défini par défaut selon le documentation du noya

stable_secret - IPv6 address
    This IPv6 address will be used as a secret to generate IPv6
    addresses for link-local addresses and autoconfigured
    ones. All addresses generated after setting this secret will
    be stable privacy ones by default. This can be changed via the
    addrgenmode ip-link. conf/default/stable_secret is used as the
    secret for the namespace, the interface specific ones can
    overwrite that. Writes to conf/all/stable_secret are refused.

    It is recommended to generate this secret during installation
    of a system and keep it stable after that.

Des recherches ultérieures indiquent que depuis la version NetworkManager 1.0.4. les extensions de confidentialité sont activées par défaut et vous pouvez les contrôler avec la propriété ipv6.ip6-privacy.

Vous pouvez confirmer que la version de votre gestionnaire de réseau installé correspond ou dépasse celle-ci avec la commande dpkg -l network-manager

Si quelqu'un a trouvé des informations contraires, laissez-moi un commentaire, je serais intéressé de le voir!

Sources:

https://unix.stackexchange.com/questions/251401/cannot-read-key-net-ipv6-conf-all-stable-secret-in-sysctl/255955#255955

https://www.kernel.org/doc/Documentation/networking/ip-sysctl.txt

https://blogs.gnome.org/lkundrak/2015/12/03/networkmanager-and-privacy-in-the-ipv6-internet/

http://changelogs.ubuntu.com/changelogs/pool/main/n/network-manager/network-manager_1.2.6-0ubuntu1/changelog

2
Elder Geek